Vom Router über smarte Kühlschränke bis zum Fernseher und vor allem moderne Industrieanlagen dürfen für die Nutzer keine Cyber-Risiken mehr bringen. Der Cyber Resilience Act legt fest, dass Produkte „mit digitalen Elementen“ wie Hard- und Software künftig während des vollen Lebenszyklus vor durch Hacker ausnutzbaren Schwachstellen geschützt werden müssen. „Die Time-to-Market für neue Produkte und Anlagen wird enorm unter dem Regelwerk leiden“, warnt Jan Wendenburg, Geschäftsführer von ONEKEY, eines auf automatische Security & Compliance Analysen für Geräte in der Industrie (IIoT), Produktion (OT) und dem Internet der Dinge (IoT) spezialisierten Unternehmens.
Ohne automatisierte Analyse- und Prüfroutinen sei der Prozess kaum noch abbildbar.
Die Regelung ist überfällig und sehr sinnvoll, da vor allem in den letzten Monaten mehr und mehr solcher Schwachstellen von smarten Geräten gnadenlos ausgenutzt oder als Einfallstor in Netzwerke verwendet wurden. Aber sie werde zu einem Kraftakt für die Industrie. Bis vor kurzem waren sich weder Nutzer noch Hersteller oder Inverkehrbringer bewusst, aus welchen „Zutaten“ Produkte mit digitalen Elementen und Netzwerkverbindungen bestehen. Die Nutzung von Drittanbieter-Codes laufe schon lange außer Kontrolle. Generell werde Software nicht mehr in einer Hand entwickelt, sondern aus Komponenten zusammengesetzt – egal ob Open-Source- oder Binär-Lizenz-Software. Diese Komponentenbauweise senkt die Kosten der Entwicklung und spart Zeit.
Die Komponenten enthalten allerdings wieder Komponenten – und so tief verschachtelt kann die eigene Firmware Malware, Bugs oder andere Schwachstellen enthalten, von denen der Entwickler nichts weiß. „Ohne robustes und zuverlässiges Prüfverfahren für den Code können sich Unternehmen der Bedrohungen nicht sicher sein und stehen gemäß Cyber Resilience Act mit einem Bein im künftig strafbaren Raum“, so Wendenburg.
Die EU-Gesetzgebung sieht zudem vor, dass Hersteller für einen Zeitraum von fünf Jahren oder die vorgesehene Lebenszeit eines Produktes – der kürzere Zeitraum ist relevant – die Sicherheit und Integrität der Bauteile oder Produkte und Anlagen gewährleisten müssen. Hier sieht der Security-Experte insbesondere bei industriellen Steuerungen Nachholbedarf: „IoT-Anlagen sind in der Industrie – in Fabriken, im Service und der Fertigung – wesentlich länger im Einsatz, selbst wenn der Hersteller nach fünf Jahren das Produkt einstellt. Hier müssen sich vor allem die nutzenden Unternehmen im Klaren sein, dass der Schutz des EU-Gesetzes irgendwann endet und die Eigenverantwortung beginnt“, warnt Wendenburg.
In Zukunft verboten ist zudem das Inverkehrbringen von Produkten mit bekannten Schwachstellen. Damit endet das heute oft übliche Copy-Paste-Engineering, welches häufig unerkannte oder auch bekannte Fehler erneut in neue Produkte einbaut. Zukünftig müssen verwendete Komponenten oder Endergebnisse geprüft werden, um zu verhindern, dass alte Schwachstellen in neue Produkte kopiert werden.